一种基于聚类分析的用户行为异常检测系统及方法技术方案

本发明专利技术涉及一种用户行为异常检测系统及方法，具体的说是一种基于聚类分析的用户行为异常检测系统及方法，包括处理平台、运营平台及用户端，处理平台通过网络与运营平台、用户端呈通信连接，用户端通过网络与运营平台呈通信连接，处理平台包括网络单元、采集单元、存储单元、分析单元及筛选单元，网络单元用于使得处理平台与运营平台、用户端之间通过网络连接在一起，采集单元可以采集用户端登录运营平台到退出运营平台之间的一系列操作信息；本发明专利技术本发明专利技术所设计的用户行为异常检测系统基于聚类分析建立，可以实现对用户行为较为全面的检测，能有效地增强异常检测的效果，降低企业网络受到攻击的几率。络受到攻击的几率。络受到攻击的几率。

【技术实现步骤摘要】
一种基于聚类分析的用户行为异常检测系统及方法


[0001]本专利技术涉及一种用户行为异常检测系统及方法，具体为一种基于聚类分析的用户行为异常检测系统及方法，属于数据安全


技术介绍

[0002]随着信息化进程的推进，互联网和网络数据业务的飞速发展，越来越多的人开始应用互联网获取信息，然而，在享受网络便利的同时，我们也正面临着各种网络攻击手段所带来的威胁，为保证安全性，现有企业一般通过建立对用户行为的分析提高网络的安全。
[0003]中国专利号CN106101116B提供一种基于主成分分析的用户行为异常检测系统及方法，该系统包括用户行为预处理模块、用户行为训练模块、PCA模块、用户行为检测模块、用户行为异常处理模块。该方法包括用户行为训练阶段和用户行为检测阶段，用户行为训练阶段用于产生用户行为异常阈值；用户行为检测阶段利用用户行为异常阈值判断实时用户行为是否异常；本专利技术利用PCA方法检测用户的异常行为，PCA对异常值变化非常敏感，用户行为异常对主方向影响大，使用户行为检测结果更有效；检测过程没有重复运算，增加了检测效率，且易于实现；使用阈值来检测实时用户行为是否异常，使检测具有高效、便捷的特点。
[0004]然而，上述中案例虽然检测过程没有重复运算，增加了检测效率，但是无法检测精度较差，易出现漏检，导致企业网络受到网络攻击的几率增大。
[0005]有鉴于此特提出本专利技术。

技术实现思路

[0006]本专利技术的目的就在于为了解决上述问题而提供一种基于聚类分析的用户行为异常检测系统及方法。
[0007]本专利技术通过以下技术方案来实现上述目的，一种基于聚类分析的用户行为异常检测系统，包括处理平台、运营平台及用户端，所述处理平台通过网络与运营平台、用户端呈通信连接，所述用户端通过网络与运营平台呈通信连接，所述处理平台包括网络单元、采集单元、存储单元、分析单元及筛选单元，所述网络单元用于使得处理平台与运营平台、用户端之间通过网络连接在一起，所述采集单元可以采集用户端登录运营平台到退出运营平台之间的一系列操作信息，所述筛选单元用于对采集单元采集的数据进行筛选分类处理，所述存储单元会对筛选单元、分析单元处理的数据进行存储，所述分析单元用于对采集单元采集的数据进行分析。
[0008]进一步地，所述网络单元为常规的有线网络设备与无线网络设备构成，且有线网络设备与无线网络设备包括MEC、核心网和边缘网关、工业级CPE和企业内G基站及G物联卡。
[0009]进一步地，所述采集单元基于网络追踪技术、数据杀毒技术及数据修复技术建立，所述采集单元不仅可以采集数据还可以对数据进行杀毒、修复处理。
[0010]进一步地，所述存储单元由两个存储区域及一个判断程序构成，且其中一个存储
区域为异常数据存储区，另外一个所述存储区域为正常数据存储区。
[0011]进一步地，所述判断程序依据异常数据存储区存储的数据建立，且可以将采集单元采集的数据与异常数据存储区存储的数据进行对比。
[0012]进一步地，所述存储单元由云端存储平台与存储介质构成，且存储介质由任何类型的易失性或非易失性存储设备或者它们的组合实现。
[0013]进一步地，所述分析单元基于机器学习技术、大数据预测技术建立，且分析单元通过大数据预测技术可对用户登录用户端的操作行为进行预测。
[0014]进一步地，所述筛选单元基于聚类和关联分析算法建立，且具体包括K
‑
means聚类分析算法、Apriori关联分析算法。
[0015]进一步地，所述处理平台基于集群服务器建立，且网络单元、采集单元、存储单元、分析单元及筛选单元均安装在集群服务器上，所述集群服务器由多个独立处理服务器构成，且单个处理服务器只会运营一种程序。
[0016]一种基于聚类分析的用户行为异常检测方法，包括以下步骤：S1.在用户通过用户端登录运营平台时，处理平台此时会通过采集单元采集用户端登录运营平台到退出运营平台之间的一系列操作信息；S2.处理平台中的分析单元会对采集单元采集的数据进行分析判断，以确定用户的操作行为是否异常，当异常时，处理平台会将信息发送到用户端、运营平台进行告警，而且分析单元还可以对用户行为进行预测，及时制止用户的异常行为；S3.同时在分析结束后分析的结果会存入存储单元，以扩大判断程序的数据内容，使得在后续对用户行为判断时存储单元内部的判断程序会先对采集单元采集的数据进行对比处理，当确认与存储单元内部的数据对比后为非异常时，分析单元会对采集单元采集的数据进行分析，以判定行为是否异常。
[0017]本专利技术的技术效果和优点：（1）本专利技术所设计的用户行为异常检测系统基于聚类分析建立，可以实现对用户行为较为全面的检测，能有效地增强异常检测的效果，降低企业网络受到攻击的几率；（2）本专利技术所设计的分析单元基于机器学习技术、大数据预测技术建立，不仅可以提高对用户异常行为检测的效率与准确性，还可以对用户行为进行预测，及时制止用户的异常行为；（3）本专利技术所设计的存储单元，在对用户异常行为检测时，存储单元会接受分析单元检测的结果，而后存储单元上的判断程序根据存储单元存储的数据对采集单元采集的数据进行对比，确认用户行为是否异常，此方式可以降低分析单元的运作量，使得检测过程没有重复运算，增加了检测效率。
附图说明
[0018]图1为本专利技术的系统结构示意图；图2为本专利技术的处理平台结构示意图；图3为本专利技术的方法流程图。
[0019]图中：100、处理平台；200、运营平台；300、用户端。
具体实施方式
[0020]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0021]请参阅图1
‑
3所示，一种基于聚类分析的用户行为异常检测系统包括处理平台100、运营平台200及用户端300，处理平台100通过网络与运营平台200、用户端300呈通信连接，用户端300通过网络与运营平台200呈通信连接，处理平台包括网络单元、采集单元、存储单元、分析单元及筛选单元，网络单元用于使得处理平台100与运营平台200、用户端300之间通过网络连接在一起，采集单元可以采集用户端300登录运营平台300到退出运营平台300之间的一系列操作信息，筛选单元用于对采集单元采集的数据进行筛选分类处理，存储单元会对筛选单元、分析单元处理的数据进行存储，分析单元用于对采集单元采集的数据进行分析，网络单元为常规的有线网络设备与无线网络设备构成，且有线网络设备与无线网络设备包括MEC、核心网和边缘网关、工业级CPE和企业内5G基站及5G物联卡，采集单元基于网络追踪技术、数据杀毒技术及数据修复技术建立，采集单元不仅可以采集数据还可以对数据进行杀毒、修复处理，存储单元由两个存储区域及本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于聚类分析的用户行为异常检测系统，包括处理平台（100）、运营平台（200）及用户端（300），其特征在于：所述处理平台（100）通过网络与运营平台（200）、用户端（300）呈通信连接，所述用户端（300）通过网络与运营平台（200）呈通信连接，所述处理平台包括网络单元、采集单元、存储单元、分析单元及筛选单元，所述网络单元用于使得处理平台（100）与运营平台（200）、用户端（300）之间通过网络连接在一起，所述采集单元可以采集用户端（300）登录运营平台（300）到退出运营平台（300）之间的一系列操作信息，所述筛选单元用于对采集单元采集的数据进行筛选分类处理，所述存储单元会对筛选单元、分析单元处理的数据进行存储，所述分析单元用于对采集单元采集的数据进行分析。2.根据权利要求1所述的一种基于聚类分析的用户行为异常检测系统及方法，其特征在于：所述网络单元为常规的有线网络设备与无线网络设备构成，且有线网络设备与无线网络设备包括MEC、核心网和边缘网关、工业级CPE和企业内5G基站及5G物联卡。3.根据权利要求1所述的一种基于聚类分析的用户行为异常检测系统及方法，其特征在于：所述采集单元基于网络追踪技术、数据杀毒技术及数据修复技术建立，所述采集单元不仅可以采集数据还可以对数据进行杀毒、修复处理。4.根据权利要求1所述的一种基于聚类分析的用户行为异常检测系统及方法，其特征在于：所述存储单元由两个存储区域及一个判断程序构成，且其中一个存储区域为异常数据存储区，另外一个所述存储区域为正常数据存储区。5.根据权利要求1所述的一种基于聚类分析的用户行为异常检测系统及方法，其特征在于：所述判断程序依据异常数据存储区存储的数据建立，且可以将采集单元采集的数据与异常数据存储区存储的数据进行对比。6.根据权利要求1所述的一种基于聚类分析的用户行为异常检测系统及方法，其特征在于...

【专利技术属性】
技术研发人员：李海青，杨云骢，宿磊磊，尚文举，
申请(专利权)人：山东空天网安科技发展有限公司，
类型：发明
国别省市：